Besoin d'une explication, help !

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar svart » 29 Sep 2003 14:35

Salut, <BR> <BR>J'ai un problème qui ne se résoud pas... Mon MNF, qui semble marcher très bien, coupe fréquemment l'accès à toutes les connexions depuis le LAN vers le FW, malgré des règles qui autorisent ces accès. <BR> <BR>Ce que je ne comprends pas, c'est que la connexion se "remet en place" toute seule, et j'ai systématiquement dans /var/log/messages une ligne comme celle-là : <BR> <BR>Sep 29 13:53:05 FORWARD:REJECT:IN=eth1 OUT=eth1 SRC=192.168.0.1 DST=216.239.59.99 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=36003 DF PROTO=TCP SPT=2050 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 <BR> <BR>Le rejet est toujoursfait sur le port 80. On dirait que la requête arrive sur Eth1 au lieu de Eth0 (mon interface LAN). Physiquement, la chose est possible, car j'ai un câblage de test un peu particulier : <BR> <BR>Internet --- Modem/Routeur --- Switch ------ LAN <BR> ------ MNF <BR> <BR> <BR>Voici les messages obtenus en faisant un firewall restart : (il doit même y avoir quelques règles en trop, cependant, je ne sais pas épurer maintenant puisque qu'il y a un problème quelque part) <BR> <BR> <BR>Determining Hosts in Zones... <BR> LAN Zone: eth0:192.168.0.1/24 eth0:0.0.0.0/0 <BR> DMZ Zone: eth2:0.0.0.0/0 <BR> NET Zone: eth1:0.0.0.0/0 <BR>Deleting user chains... <BR>Creating input Chains... <BR>Configuring Proxy ARP <BR>Setting up NAT... <BR>Adding Common Rules <BR>Adding rules for DHCP <BR>IP Forwarding Enabled <BR>Processing /etc/shorewall/tunnels... <BR>Processing /etc/shorewall/rules... <BR> Rule "ACCEPT:info lan:192.168.0.1 fw tcp 8443 -" added. <BR> Rule "ACCEPT:info lan fw tcp 22 -" added. <BR> Rule "ACCEPT:info lan fw tcp 53 -" added. <BR> Rule "ACCEPT:info fw wan tcp 53 -" added. <BR> Rule "ACCEPT:info fw wan udp 53 -" added. <BR> Rule "ACCEPT:info fw wan tcp 21 -" added. <BR> Rule "ACCEPT:info lan fw udp 53 -" added. <BR> Rule "ACCEPT:info fw lan tcp 53 -" added. <BR> Rule "ACCEPT:info fw lan udp 53 -" added. <BR> Rule "ACCEPT:info fw:Eth1 wan icmp 8 -" added. <BR> Rule "ACCEPT:info lan fw::3328 tcp 80 - all" added. <BR> Rule "ACCEPT:info fw wan tcp 80 -" added. <BR> Rule "ACCEPT:info fw lan tcp 80 -" added. <BR> Rule "ACCEPT:info wan fw udp 53 -" added. <BR> Rule "ACCEPT:info wan fw tcp 53 -" added. <BR> Rule "ACCEPT:info wan fw tcp 80 -" added. <BR>Setting up ICMP Echo handling... <BR>Processing /etc/shorewall/policy... <BR> Policy REJECT for fw to lan using chain fw2lan <BR> Policy REJECT for fw to wan using chain fw2all <BR> Policy REJECT for lan to fw using chain lan2fw <BR> Policy REJECT for lan to lan using chain lan2all <BR> Policy REJECT for lan to wan using chain lan2wan <BR> Policy DROP for wan to fw using chain wan2all <BR> Policy DROP for wan to lan using chain wan2all <BR>Masqueraded Subnets and Hosts: <BR> To 0.0.0.0/0 from 192.168.0.0/24 through eth0 using 192.168.1.1 <BR>Processing /etc/shorewall/tos... <BR> Rule "all all tcp - ssh 16" added. <BR> Rule "all all tcp ssh - 16" added. <BR> Rule "all all tcp - ftp 16" added. <BR> Rule "all all tcp ftp - 16" added. <BR> Rule "all all tcp - ftp-data 8" added. <BR> Rule "all all tcp ftp-data - 8" added. <BR>Activating Rules... <BR>Shorewall Restarted <BR> <BR> <BR> <BR>Voyez-vous quelque chose dans ces lignes qui pourrait m'aider à régler ce problème ? <BR> <BR>Merci de votre aide, ça va bien faire trois jours que je m'escrime là-dessus, <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR>Simon
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar tomtom » 29 Sep 2003 14:41

Ou est ton eth1 ? ton eth 0 ? <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar svart » 29 Sep 2003 15:03

Pardon, j'ai manqué de précision : <BR> <BR> <BR>Internet > Modem/Routeur > Switch > LAN <BR> > Eth1 |MNF| Eth0 < <BR> 192.168.1.1 | | 192.168.0.6 <BR> <BR>Est-ce suffisant ? Je peux communiquer toute information nécessaire à une meilleure compréhension du problème. <BR> <BR>Mon meilleur suspect est la règle qui redirige les requetes HTTP 80 vers le proxy transparent de Squid ; car le rejet est toujours sur le port 80. <BR> <BR>Voici un autre message qui confimera peut-être l'hypothèse selon laquelle c'est mon cablage qui est en cause : j'ai, pour essayer, configuré le proxy en manuel dans FireBird. Les requêtes étaient donc envoyés sur 192.168.0.6:3328 <BR> <BR>Voici le message trouvé dans /var/log/messages : <BR> <BR>Sep 29 14:53:07 firewall kernel: Shorewall:wan2all:DROP:IN=eth1 OUT= MAC=00:04:75:ca:31:88:00:10:b5:c6:92:fb:08:00 SRC=192.168.0.1 DST=192.168.0.6 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=46733 DF PROTO=TCP SPT=2270 DPT=3328 WINDOW=65535 RES=0x00 SYN URGP=0 <BR> <BR>C'est la règle Wan2all qui a été appliquée ! Or la source ne fait pas de doute, c'est ma machine sur le lan, 192.168.0.1 ! C'est Eth0 qui aurait dû être contacté, pas Eth1 (qui a l'IP 192.168.1.1). <BR> <BR>Eth1 est en mode promiscuité, du fait de Snort et Prélude. <BR> <BR> <BR> <BR> <BR> <BR>
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar svart » 29 Sep 2003 16:44

Je pense pouvoir confirmer : l'erreur provient du fait que Eth1 (WAN) intercepte les requêtes à destination de Eth0 (passerelle LAN) . Du coup, erreur, puisque la route est d'envoyer la requête sur Eth1. Quand celle-ci provient de Eth0, tout marche, mais si Eth1 essaie de transmettre à Eth1, ça déconne... Normal. <BR> <BR>J'ai fait l'essai de mettre la configuration normale Modem/routeur - MNF - LAN <BR> <BR>Et tout marchait sans problème !
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron